هشدار پژوهشگران آمریکایی: بعضی اپلیکیشنها از صفحه موبایل شما ویدئو ضبط میکنند!
نمایش خبر
تاریخ : 1397/4/18 نویسنده: مسعود بهرامی شرق | ||
برچسبها : | امنیت Security ، گوشی هوشمند Smartphone |
واحد خبر mobile.ir : بسیاری از مردم دنیا – اعم از عوام و حتی نخبگان – بر این باورند که گوشیهای هوشمند یکی از ابزارهای شنود و جاسوسی هستند. برخی دیگر، که کمی خوشبینتر از دسته اول هستند، معتقدند کمپانیهای بزرگی مثل فیسبوک با شنیدن مکالمههای افراد از طریق اسمارتفونهایشان، آنها را هدف تبلیغات قرار میدهند. چندی پیش نیز مجله معروف "وایس" (Vice) با انتشار مقالهای با عنوان "گوشی شما در حال شنود است و این یک توهم نیست" به این قضیه دامن زد. نویسنده این مقاله، در یک آزمایش 5 روزه، در مکالمههای خود با تلفن همراه، مدام از بازگشت به دانشگاه و نیاز به تیشرت ارزان صحبت کرده بود. طبق ادعای وی، پس از این آزمایش، تبلیغهایی در رابطه با تیشرت و کلاسهای دانشگاه روی صفحه فیسبوک او ظاهر شده بود.
این فضای ذهنی مسموم همواره مردم را آزار داده و حتی مارک زاکربرگ، مدیر عامل فیسبوک، هم نتوانست نمایندگان کنگره را قانع کند که این مسأله حقیقت ندارد. در این میان جای خالی پژوهشی که بتواند در این زمینه راهگشا باشد، همیشه حس شده است. خوشبختانه اخیرا باخبر شدیم گروهی از پژوهشگران دانشگاه Northeastern University (واقع در شهر بوستون از ایالت ماساچوست آمریکا) در این زمینه اقدام به انجام یک تحقیق منسجم نمودهاند. نتایج این پژوهش – که برای نخستین بار در سایت Gizmodo منتشر شد – نشان میدهد شنود مکالمه کاربران از طریق اپلیکیشنهای تلفن همراه صحت نداشته و هیچ مدرکی مبنی بر فعال کردن ناخواسته میکروفن یا ارسال فایل صوتی از گوشی مشاهده نشده است. اما در کمال ناباوری، پژوهشگران در این آزمایش به یافتهای عجیب رسیدند: اپلیکیشنهایی که از صفحه موبایل ویدئو ضبط کرده و آن را به برخی شرکتها میفرستند!
برای انجام این آزمایش، پژوهشگران 10 گوشی اندرویدی انتخاب کرده و 17,260 اپلیکیشن پرطرفدار اندروید را روی آنها نصب نمودند (از این میان بیش از 9,000 اپلیکیشن اجازه دسترسی به دوربین و میکروفن را داشتند). بنا به مصلحت دید پژوهشگران، این پژوهش بایستی به مدت یک سال ادامه مییافت، اما بدون شک کار کردن با این تعداد اپلیکیشن آن هم روی 10 اسمارتفون، کاری غیرممکن بود. به همین دلیل پژوهشگران یک برنامه خودکار را برای تعامل با این اپلیکیشنها در نظر گرفته و سپس ترافیک دادهای تولیدشده را تحلیل کردند. البته لازم به ذکر است که استفاده از این برنامه خودکار – که نقش یک کاربر مجازی را ایفا میکرد – از محدودیتهای این پژوهش به شمار میرود، زیرا این برنامه خودکار نمیتواند مثل یک انسان با اپلیکیشنها تعامل کند؛ به عنوان مثال، نمیتواند کارهایی از قبیل درست کردن نام کاربری و گذرواژه برای ایجاد اکانت در یک اپلیکیشن را انجام دهد.
با تمام این اوصاف، پس از اتمام آزمایش و تحلیل دادهها، همانطور که در ابتدا هم گفته شد، علیرغم اجازه دسترسی بیش از 9,000 اپلیکیشن به میکروفن و دوربین، هیچگونه شنود مکالمات از طریق اپلیکیشنها گزارش نشد. اما در چند مورد مشاهده شد که اسکرینشاتها و ویدئوهایی از آنچه کاربر در حال انجام دادن با اپلیکیشن بوده، به دامنههای دیگری فرستاده شده است. یکی از این موارد به اپلیکیشن GoPuff مربوط میشود. این اپلیکیشن متعلق به استارتآپی به همین نام در آمریکاست که خدمات تحویل اقلام خوراکی و خواروبار به درب منازل را ارائه میکند. به گفته تیم تحقیقاتی، اپلیکیشن GoPuff مراحل کار کردن کاربر با آن را ضبط کرده و فایل ویدئویی را به وبسایتی وابسته به Appsee (یک کمپانی فعال در عرصه تحلیل دادههای موبایل) میفرستد. به عبارت دقیقتر، توسعهدهندگان اپلیکیشن GoPuff یک خط کد یا یک SDK را در این اپلیکیشن گنجاندهاند که به Appsee اجازه میدهد دادههای GoPuff را جمعآوری کند. گفتنیست، فایل ویدئویی مذکور، از صفحه نمایشگر موبایل ضبط شده و میتواند دربردارنده اطلاعات شخصی کاربران (در این مورد، کدپستی آنها) باشد.
البته این کار چندان هم از سوی Appsee تعجببرانگیز نیست، چرا که خود Appsee با افتخار اعلام کرده که توانایی ضبط مراحل کار کردن افراد با یک اپلیکیشن را در وبسایتش دارد. اما آنچه که باعث ناراحتی تیم تحقیقاتی شده، آن است که کاربران از ضبط شدن نحوه تعاملشان با اپلیکیشن هیچ اطلاعی نداشته و این موضوع در هیچیک از بندهای سیاست حفظ حریم خصوصی GoPuff نیز قید نشده است. پس از تماس گروه تحقیقاتی با GoPuff، این استارتآپ مجبور شد بندی را به سیاست حریم خصوصی خود اضافه و اذعان کند که Appsee ممکن است اطلاعات شخصی قابل شناسایی کاربران را دریافت کند.
اما Appsee به هیچ وجه زیر بار نرفته و تقصیرها را به گردن GoPuff انداخته است. به گفته زاهی بوسیبا (Zahi Boussiba)، مدیر عامل Appsee، در شرایط استفاده از خدمات (یا همان terms of service) شرکت به وضوح قید شده که مشتریان ما باید استفاده از هرگونه تکنولوژی دیگری را علنا بیان کنند و شرایط ما مشتریان را از ردیابی هر گونه داده شخصی در Appsee منع کرده است. وی ضمن اشاره به اینکه تعدادی از رقبای Appsee "تکنولوژی بازپخش جلسه کامل" یا full-session replay technology را در هر دو پلتفرم اندروید و iOS به مشتریان خود ارائه میدهند، خاطر نشان کرد که کاربران برای جلوگیری از ضبط شدن محتوای نمایشگر خود میتوانند قسمتهای حساس اپلیکیشن را در لیست سیاه قرار دهند.
وی در ادامه گفت: «به نظر میرسد در این مورد، تکنولوژی Appsee توسط مشتری [یعنی GoPuff] مورد سوءاستفاده قرار گرفته و شرایط استفاده از خدمات ما نقض شده باشد. به محض اینکه این موضوع مورد توجه ما قرار گرفت، بلافاصله قابلیتهای ردیابی برای اپلیکیشن مذکور را غیرفعال کرده و تمام دادههای ضبطشده را از سرورهای خود پاک کردیم.»
اما به گفته یکی از سخنگویان گوگل، Appsee آنقدر هم بیتقصیر نیست. وی گفت: «پس از بازبینی یافتههای پژوهشگران، به این نتیجه رسیدیم که بخشی از سرویسهای Appsee ممکن است برخی از توسعهدهندگان را در معرض خطر نقض سیاستهای گوگل پلی قرار دهد.» وی افزود گوگل در تلاش است تا با همکاری با مسئولان Appsee، مطمئن شود که توسعهدهندگان ارتباط درستی بین عملکرد کیت توسعه نرمافزار و کاربران نهایی اپلیکیشن برقرار میکنند. طبق سیاستهای گوگل پلی، نحوه جمعآوری دادههای کاربران بایستی به آنها اعلام شود.
خلاصه داستان این است که استارتآپ GoPuff برای بهینهسازی عملکرد اپلیکیشن خود از Appsee کمک میگیرد و لذا ضبط اطلاعات کاربران برای این کمپانی غیرمنتظره نبوده است. اما اینکه طرف سومی وجود دارد که میتواند بدون اطلاع کاربر، محتوای نمایشگر او را ضبط کند، بسیار نگرانکننده است. همچنین، این قضیه نشان میدهد سرقت اطلاعات گوشی توسط یک عامل مخرب تا چه حد میتواند آسان باشد. توجه داشته باشید که یک اسکرینشات یا ویدئو از کار کردن شخص با اپلیکیشن میتواند زمینه دسترسی به پیامهای خصوصی، اطلاعات شخصی و یا حتی پسورد را هم فراهم کند، زیرا در بسیاری از اپلیکیشنها، کاراکترهای پسورد قبل از تبدیل شدن به یک ستاره سیاهرنگ، به نمایش در میآیند.
نتایج این تحقیق از طریق وبسایت Gizmodo منتشر شده، اما قرار است یافتههای پژوهش به شکل رسمی ماه آینده در "کنفرانس سمپوزیوم تکنولوژی بهبود حریم شخصی" واقع در بارسلونای اسپانیا ارائه شود. درست است که در این پژوهش، هیچ مدرکی دال بر شنود مکالمات کاربران پیدا نشده، اما اعضای تیم تحقیقاتی در بیان این حقیقت 100 درصد مطمئن نبودند، زیرا همانطور که گفته شد، کنترل 10 اسمارتفونی که مورد آزمایش قرار گرفت، در اختیار یک برنامه خودکار بود و نه یک انسان واقعی. همچنین اسمارتفونهای مذکور در یک محیط کنترلشده قرار داشته و مثل سایر گوشیها در شرایط معمولی نبودند. این سناریو هم مطرح است که شاید برخی اپلیکیشنها بتوانند مکالمه کاربر را تبدیل به متن کرده و به جای فایل صوتی، یک فایل متنی را ارسال کنند. نکته دیگر آنکه تمامی گوشیها اندرویدی بودند و سیستم عامل iOS در این پژوهش مورد بررسی قرار نگرفته است. با این اوصاف، نمیتوان نظریه شنود مکالمات را 100 درصد منتفی دانست.
- معرفی Realme GT7 Pro با بدنه IP69، باتری 6,500mAh و پردازنده Snapdragon 8 Elite
- گزارش مالی اپل از سهماهه منتهی به سپتامبر 2024 – رکورد درآمد، کاهش اجباری سود!
- گزارش مالی سامسونگ از سهماهه سوم 2024 – افت سود 40 درصدی در بخش نیمهرسانا
- گزارش مالی مایکروسافت از سهماهه منتهی به سپتامبر 2024 – کاهش فروش Xbox، درآمدزایی سایر بخشها
- معرفی OnePlus 13 با بدنه IP69، باتری 6,000mAh و پردازنده Snapdragon 8 Elite
- معرفی iQOO 13 با پردازنده Snapdragon 8 Elite، باتری 6,150mAh و عقبگرد در دوربینها!
- گزارش مالی آلفابت از سهماهه سوم 2024 – عملکرد فوقالعاده، افزایش درآمد همه بخشها